M1 ISIM SIC 2012 2013 Réseaux IP avancé T.T. Dang Ngoc dntt@u-cergy.fr TD4 - Vos PC sont sous le système FreeBSD 7.1. Sur les PCx1 et PCx2 de chaque ilôt est installé une carte Wifi à base de chipset Atheros (NETGEAR WG311V1 ou 3COM). Débranchez les câbles éthernet (ou n allumez tout simplement pas les switch). Vous vous répartirez entre vous afin de n utiliser que les PCx1 et PCx2. Tout au long de ce TP vous : Vous créerez une interface wlan0 à partir de la carte réseau ath0 dans le mode souhaité (adhoc, point d accès ou station) (ifconfig wlan0 create wlanmode mode_accès_souhaité. Le mode d accès sera soit adhoc-demo pour le mode adhoc, soit hostap pour le mode point d accès soit sta pour le mode station. En cas d erreur ou pour réinitialiser l interface, vous pouvez détruire l interface wlan0 à l aide de la commande ifconfig destroy wlan0. Vous lancerez wireshark en capturant l interface ath0 (capture->interface->wlan0->options en sélectionnant comme type de couche liaison IEEE 802.11 plus radiotap WLAN header). vous vérifierez régulièrement l état de votre interface réseau ath0 en tapant ifconfig -a vous étudierez le voisinage, la liste des points d accès, les stations associées à l aide de ifconfig ath0 list scan, ifconfig ath0 list sta, etc. (voir annexe). 1 Wifi en mode ad-hoc 1.1 Wifi en mode ad-hoc simple sans partage de la connexion BSS/ESS à (ESSID l Internet : master sic) Pour les PCx1 et PCx2 de chaque ilôt, vous configurerez la carte Wifi (ath0) de la manière suivante : ESSID (ssid) : salle-tp mode (wlanmode) : ad-hoc (adhoc-demo) adresse IP (inet) : 10.1.0.NUM (où NUM est votre numéro de PC) masque de réseau (netmask) : 255.255.255.0 ne câblez rien! Sur le schéma, les lignes en pointillé représente le réseau sans-fil, il ne faut donc pas de câble pour le matérialiser (le but est de tester le sans-fil!) (Les mots entre parenthèses désignent l option à utiliser dans la commande ifconfig). PC11 PC21 Ilot 2 PC22 Ilot 1 PC12 10.1.0.0/24 PC31 PC41 Ilot 3 Ilot 4 PC32 PC42 Testez la connexion en utilisant ping entre deux PC quelconques (avec carte wifi) de la salle. 1.2 Wifi en mode ad-hoc avec partage de la connexion à Internet Pour chaque ilôt, PCx1 joue à présent le rôle de routeur et PCx2 est une station désireuse de se connecter à l Internet via PCx1. Page 1/5
Configuration sans-fil : mode ad-hoc Pour chaque îlot i, vous configurerez les PCx1 et PCx2 de la manière suivante : mode (wlanmode) : ad-hoc (adhoc-demo) Internet adresse IP : 215.i.1.NUM (où NUM est votre numéro de PC) masque de réseau : 255.255.255.0 Testez la connexion en utilisant ping entre PCx1 et PCx2. 254 204.18.23.0/24 Configuration filaire Cablez suivant le schéma ci-contre. Sur le schéma, les lignes en pointillé représente le réseau sansfil, il ne faut donc pas de câble pour le matérialiser (ne donc pas relier PCx2 à PCx1 par un câble réseau!) Configurez l interface réseau filaire de PCx1 de la manière suivante : adresse IP : 204.18.23.i (où i est votre numéro d îlot) masque de réseau : 255.255.255.0 Activez le routage sur PCx1, utilisez PCx1 comme routeur par défaut pour PCx2, puis testez la connexion en utilisant ping entre PCx2 et une autre machine de l Internet (par exemple 193.48.241.2) ou d un autre ilôt (attention dans ce cas à bien configurer les routes vers votre réseau au niveau des routeurs). PCi1 i PCi2 1 2 215.i.1.0/24 Ilot i BSS/ESS (ESSID : ilot i) 2 Wifi en mode infrastructure Un point d accès est un périphérique sans fil qui permet à un ou plusieurs clients sans fils d utiliser ce périphérique comme un concentrateur (hub). Quand ils utilisent un point d accès, tous les clients communiquent par l intermédiaire de ce point d accès. Afin d accéder au réseau filaire, il s agit de créer une passerelle (contrairement à un routeur, une passerelle permet de relier deux réseaux qui n utilisent pas forcément le meme protocole) entre le réseau 802.3 et le réseau 802.11. On utilisera le PA également comme passerelle (mais on pourrait très bien prendre n importe quelle station du BSS) 2.1 Un PC comme point d accès 204.18.23.0/24 Internet 254 système de distribution (DS) Il s agit de créer un point d accès à partir d un PC. Configuration filaire Cablez suivant le schéma ci-contre. Sur le schéma, les lignes en pointillé représente le réseau sansfil, il ne faut donc pas de câble pour le matérialiser (ne donc pas relier PCx2 à PCx1 par un câble réseau!) PCi1 PCi2 BSS j Ilot j BSS i Ilot i ESS (ESSID : master sic) BSS k Ilot k Création et configuration du point d accès réseau sans-fil. Créez une passerelle entre votre interface réseau filaire et votre interface Page 2/5
mode (wlanmode) : hostap sécurité : open (pas de chiffrement) Configuration des PCx2 en mode station Sur les PCx2, il vous suffira de vous placer en mode station (mode par défaut au démarrage de la carte, c est-à-dire ni ad-hoc, ni ap) et de positionner les paramètres suivants : sécurité : open (pas de chiffrement) réseau 204.18.23.0/24 canal : celui de l AP que vous voulez utiliser. Testez en essayant de faire un ping vers d autres PCx2 ou des machines de l Internet. 2.2 Paramétrage et sécurité Testez diverses options de sécurité de votre AP : 1. Désactivez la diffusion de votre ESSID. 2. Activez le filtrage des adresses MAC en permettant l accès que de certaines stations seulement. Vous aurez à charger le module wlan acl avant de réaliser cette manipulation. Vous taperez pour cela : kldload wlan_acl. 3. Positionnez une clef Wep 128 bits 3 Point d accès en utilisant du matériel spécifique Le but est de remplacer le point d accès précédent par du matériel dédié (voir les bornes WiFi présents sur chacun des ilôts) 1. Effacez les précédentes configurations de l AP (fait par les TP précédents) en maintenant le bouton reset. 2. Reliez par un cable RJ45 un de vos PC à l AP. 3. reprenez les paramètres de l exercice précédent pour configurer l AP Sauvegardez et testez à l aide des PCx2. 4 Annexes 4.1 Configuration d une interface réseau sous FreeBSD Sous FreeBSD, la commande ifconfig est une commande permettant de gérer tous 1 les aspects de la configuration d une carte réseau 2, que ce soit les aspects purement IP ou les aspects concernant les paramètres Wifi. 1. alors que sous Linux, des commandes comme iwconfig ou wlanconfig permettent de configurer spécifiquement l aspect Wifi en sus de la commande ifconfig. 2. taper man ifconfig pour voir toutes les options proposées par la commande ifconfig Page 3/5
Création de l interface wlan0 Creez l interface wlan0 (la premiere fois) à partir de votre interface physique ath0. ifconfig wlan0 create wlandev ath0 Vous utiliserez par la suite l interface wlan0. Options de la commande ifconfig Ainsi la commande ifconfig s utilisera de la manière suivante : ifconfig nom interface commandes... où commandes vaut : inet adresse ip pour spécifier l adresse IP de la carte réseau netmask masque pour spécifier le masque pour cette adresse IP up ou down pour activer/désactiver l interface réseau wlanmode options pour changer le mode vous pouvez utiliser adhoc-demo, hostap, sta. Sans options (par défaut), le mode est station. mode mode choix entre 802.11a (11a), 802.11b (11b), et 802.11g (11g) channel numero numéro du canal à utiliser (de 1 à 255), mais les canaux utilisables 3 sont visibles par ifconfig channel any ssid ssid spécifier le SSID (nom du réseau Wifi) authmode mode none, open, shared, 8021x et wpa (WPA/WPA2/802.11i) roaming mode device, auto, manual 4.1.1 Lister et afficher les configurations Voir la configuration des interfaces réseaux à l aide de la commande ifconfig -a Lister des informations à l aide de ifconfig nom interface list... active liste des canaux utilisables caps les fonctionnalités supportées par l adaptateurs chan liste des canaux utilisables mac ACL sur les cartes éthernet (+, -, *) scan liste des points d accès et voisins ad-hoc ifconfig nom interface list sta en mode ad-hoc retourne la liste des stations voisines en mode AP retourne la liste des stations actuellement associées en mode station retourne le point d accès associé 4.2 Paramétrage et sécurité 4.2.1 Désactiver la diffusion du ESSID ifconfig wlan0 hidessid 4.2.2 Activer le filtrage des adresses MAC Pour activer le filtrage, vous aurez besoin la première fois, de charger le module wlan acl en tapant : kldload wlan_acl Modifier la base d adresse MAC : Page 4/5
ifconfig wlan0 mac:add adresse ethernet ajoute une adresse MAC dans la base ifconfig wlan0 mac:del adresse ethernet supprime une adresse MAC dans la base ifconfig wlan0 mac:flush vide la base Définir la politique : restrictive (on interdit tout sauf les adresses de la base qui elles sont autorisées - open) ou permissive (le contraire - deny). Avec open, tout est autorisé, indépendamment de ce qui est contenu dans la base : ifconfig wlan0 mac:allow politique restrictive ifconfig wlan0 mac:deny politique permissive ifconfig wlan0 mac:open pas de restriction Afficher la base d adresse MAC : ifconfig wlan0 list mac Forcer manuellement une désauthentification : ifconfig wlan0 mac:kick adresse ethernet 4.2.3 Positionner une clef Wep ifconfig wlan0 authmode shared wepmode on deftxkey 1 wepkey "le code a moi" ou ifconfig wlan0 authmode shared wepmode on deftxkey 1 wepkey "0x1234567890" Note Il existe 3 normes de clés WEP. Dans chacune des normes, 24 bits sont réservés pour le vecteur d initialisation, réduisant ainsi d autant la taille de la clé de chiffrement. La clef peut être donnée soit sous forme d une suite de caractère ASCII soit sous forme hexadécimale. Clé WEP nombre de caractères ASCII nombre de caractère hexadécimaux WEP-64 5 10 WEP-128 13 26 WEP-256 29 58 4.3 Création d une passerelle entre interfaces réseaux Sur les PCx1, vous devrez charger un module afin de mettre en place la partie de FreeBSD faisant office de pont pour le point d accès. Pour charger le module, exécutez la commande suivante : kldload if_bridge Création de la passerelle entre les interfaces réseaux. ifconfig bridge0 create ifconfig bridge0 addm NOM_INTERFACE_1 addm NOM_INTERFACE_2 up Page 5/5